EPDAS：智能电网隐私保护数据分析方案的研究

沙特国王大学学报EPDAS：一种高效的智能电网隐私保护数据分析方案Ismaila Adeniyi Kamil，Sunday OyinlolaOgundoyin伊巴丹大学电气与电子工程系，伊巴丹，尼日利亚阿提奇莱因福奥文章历史记录：收到2018年2018年12月4日修订2018年12月29日接受2018年12月30日在线提供保留字：智能电网隐私容错椭圆曲线密码聚合中国剩余定理A B S T R A C T近年来，在智能电网系统中提出了几种隐私保护的数据聚合方案，以实现安全通信和保护用户隐私。然而，它们中的大多数要么效率低下，不安全，要么不容错。为了解决这些挑战，我们提出了一个轻量级的容错隐私保护的数据聚合计划称为EPDAS使用椭圆曲线密码，修改的Paillier密码系统，中国剩余定理和哈希链技术的组合。安全性分析表明，EPDAS是安全的，可以提供机密性，匿名认证，自治性，完整性和容错性。广泛的性能分析表明，该计划是更有效的比最近的相关计划。 因此，EPDAS是适合在智能电网环境中的实际实施。©2018作者制作和主办：Elsevier B.V.代表沙特国王大学这是一CC BY-NC-ND许可下的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。1. 介绍智能电网（SG）是传统电网的增强形式，其利用信息和通信技术来提高电网的发电、输电、配电和控制的可靠性、可持续性和成本效率（Gungor等人，2010; Fang等人，2012; Vahedi等人，2017年;李例如，2018年）。电力基础设施允许发电、传输和向消费者分配电能，而通信基础设施提供智能操作。 在SG网络中，电能和信息都在公用事业和消费者之间交换（Li等人， 2018年）。智能电表（SM）通常部署在消费者家庭处以频繁地（例如，每15分钟）收集实时能耗数据。所收集的数据被传输到控制中心（CC），用于成本计算、未来条件的预测、电力分配和意外情况的监控（Wen等人，2017年）。实时采集*通讯作者。电子邮件地址：honsybee@yahoo.com（S.O.Ogundoyin）。沙特国王大学负责同行审查。短信的信息可能会泄露消费者的敏感信息，损害他们的隐私。因此，SG通信必须针对内部和外部对手进行保护（Khuana等人，2010; Li等人，2012年; He等人， 2017年）。此外，攻击者可以通过将自己变成聚合器来引入黑洞攻击窃取服务也可以由对手执行，通过损害SM向CC报告错误或低能耗数据来欺骗SG系统。为了解决上述挑战，已经提出了几种数据聚合方案（Garcia和Jacobs，2010;Chen等人，2015 a，b; Yang等人，2017年; Lu等人，2012; Abdallah和Shen，2018; Dong等人，2014年; Liu等人，2016; Jia等人，2014; Fan等人，2014; He等人， 2016年）。 这些方案依赖于Paillier密码系统（Paillier，1999）作为它们的同态算法，而其他方案使用不同的方法，诸如格（Li等人， 2015）和El-Gamal（Lu，2016; Liu等人， 2018）算法。同态加密是用于执行数据聚合的无价原语，因为它允许对加密的数据执行加法操作。然而，现有的数据聚合方案不满足CC的细粒度要求，因为它们假设CC需要计算整个SM的能量消耗。同样，需要获得一定范围内用户的总能耗 Li等人（2018）和Lu et al. （2015）使用Paillier同态加密和超增序列进行多维聚合，但计算成本和通信https://doi.org/10.1016/j.jksuci.2018.12.0091319-1578/©2018作者。制作和主办：Elsevier B.V.代表沙特国王大学这是一篇基于CC BY-NC-ND许可证的开放获取文章（http://creativecommons.org/licenses/by-nc-nd/4.0/）。制作和主办：Elsevier可在ScienceDirect上获得目录列表沙特国王大学学报杂志首页：www.sciencedirect.comI.A. Kamil，S.O.Ogundoyin/ Journal of King Saud University209ð ð ð ÞÞÞ ¼ ð ð ð ðÞÞÞÞ ¼· · ·间接费用不令人满意。通常，大多数早期报告的方案在计算上是复杂的，并且对于诸如智能电网的资源有限的应用不是非常有效。这些方案使用传统的Paillier加密，导致了巨大的通信开销。更重要的是，现有的SG数据聚合的文献是不容错的。在本文中，我们提出了一个隐私保护的轻量级多子集数据聚合方案称为EPDAS，它可以聚合的电力消耗的一个特定的子集时，一些SM是故障，并没有报告给CC，从而提供容错。在EPDAS中，由于所有SM该过程导致所提出的方案中的增强的pri- vacy。该方案利用中国剩余定理和改进的Paillier密码体制进行多子集用户的数据聚合，并采用椭圆曲线密码体制进行认证。本文的其余部分组织如下。在第2中，我们对现有的文献进行了回顾，而第3节则介绍了这项工作中使用的一些术语。我们将在第4节中介绍系统模型、敌手模型和设计目标。然后，我们将在第5节中讨论数据聚合方案，然后在第6节中进行安全分析和性能评估。 我们在第7中总结了工作。2. 相关工作为了实现降低的通信开销，近年来已经提出了若干隐私保护数据聚合方案。Castelluccia等（2009）提出了一种基于加性同态密码体制的高效且隐私保护的聚合方案，该方案可以抵抗各种攻击。Alharbi andLin（2012）后来提出了一种轻量级的隐私保护数据聚合方案，用于智能 电 网 通 信 ， 使 用 Castelluccia 等 人 提 出 的 加 性 同 态 加 密 技 术 。（2009），但该方案是不容错的。Lu等人（2012）提出了一种高效且隐私保护的数据聚合方案EPPA，以实现智能电网网络中隐私保护的多维数据聚合。该方案利用同态Paillier密码体制和超增序列相结合的方式进行聚合，实现了低通信开销。Zhang et al.（2013）基于中国剩余定理和Paillier同态密码系统提出了一种有效的SG隐私保护数据聚合方案。Li等人（2015年）使用格密码术开发了一种用于智能电网通信的高效隐私保护双功能数据聚合方案。该方案可以计算聚合加密数据的均值和方差，同时保护用户的身份。Chen等人（2015 b）提出了一种多功能隐私保护数据聚合方案，用于计算用户能耗的总和和变化。与基于同态加密的方案不同，Abdallah和Shen（2018）提出了一种基于隐私保护格的同态数据聚合方案，Dong等人（2014）提出了一种基于El-Gamal的同态加密方案。Jo等人（2016）提出了一种有效的数据聚合方案，其中私钥由一组SM持有。用户在将数据发送到高级计量基础设施（AMI）之前对其进行加密。AMI聚合接收到的数据，但在不知道私钥的情况下无法对其进行解密。然而，Liu等人（2018）指出，使用差分攻击可以损害用户的隐私。Liu等人（ 2018年）提出了一种基于EC-El-Gamal同态密码体制的隐私保护数据聚合方案3PDA。在3PDA中，具有一定信任度的用户可以构造一个虚拟的聚集区来屏蔽用户最近，Li等人（2018）提出了一种隐私保护的多子集数据聚合方案，称为PPMA，以解决现有方案的局限性。在该方案中，用户被划分为许多子集的基础上的电力消费的范围。然后，该方案可以聚合的用户数和每个子集的能量消耗的总和，只有一个密文。然而，该方案是容错的。此外，考虑到SM的资源限制，PPMA不是有效3. 预赛3.1. 散列链哈希链是对消息的加密哈希函数操作，它返回许多随机值。假设存在消息M和单向散列函数h，长度k由hkM表示，这意味着对hM在克-1次的是，hkMhk-1hMh k-2h h Mh k-3h h h M.在随机预言模型中，获得的k值是 随机数 ，只 需要存 储一个 值来重 建 k 值集 （ Ogundoyin ，2018）。3.2. 椭圆曲线密码椭圆曲线方程可以表示为：E：y2¼x3axb在素有限域Fq上，其中q>3，a;b2Fq，4a3< $27b2mod p给定n2Fq和一个点P在E上，λ是E上的标量乘法（Olakanmi等人， 2017年）。在这项研究中，使用椭圆曲线E=Fq，其中Fq是具有素数阶q的有限域，E：y2¼x3axb，并且4a327b2modp椭圆曲线上的点P形成由E上的所有点和无穷远处的点组成的阶数为q的加法循环群G（Olakanmi等人，2017; Kamil等人，2017年; Kamil和Ogundoyin，2019年）。3.3. 计算假设在这项工作中使用的认证方案的建设依赖于椭圆曲线离散对数问题（ECDLP）和计算Diffie-Hellman问题（CDHP）的硬度。ECDLP ： 给 定椭 圆 曲线 E = F q 和 x 2 F q 上 的两 个 点 P1 和P2¼xP1，输出x。 如果不存在能以至少为e的概率求解ECDLP的t -时间算法，则我们说ECDLA成立。CDHP：给定三个点P;xP和yP，输出xyP2G，其中x;y2Zq ω，P是G的生成元. 如果不存在解CDH问题的概率至少为e的t-时间算法，则称n ^ t ;e-CDH定理成立.3.4. 模n2给定p <$2 p0<$1和q <$2 q0<$1为两个安全素数，其中p0和q0也是素数，得到n <$pq和n <$p-1 <$p和n<$q-1<$p的最小公倍数k<$lcm<$p-1; q-1 <$p。因此，以下性质对于模n2成立。1. 1Ify2Zωn 2，则ynk<$1modn2（Lu等人， 2017）。210I.A. Kamil，S.O.Ogundoyin/ Journal of King Saud UniversityYqjQj2. 如果yj 1/4Zn，1≤j≤l，则根据Paillier（1999）;L或网关）和智能电表（SM）。在所提出的方案中有两个层次的最高层是com-SP、EU和TA之间使用安全通道进行通信Q1 n·y j÷ ð 1 þn·Plyjmod n21第1页第1页例如安全套接字层（SSL），而较低层是SM和SP之间使用无线网络的层。各实体的详细说明如下。3.5. 中国剩余定理给定q1，q2，q3，···，qk为两两正素数，x1;x2;x3;···;xk为整数，则同余系统，yx j modqj; 1 6j 6k2具有KQ¼qj3第1页作为一个独特的解决方案，yx1Q1s1x2Q2s2x3Q3s3···xkQk skmodQ4其中QjQ;sj1 mod qj;1≤j≤ k。4. 系统模型、对手模型和设计目标在本节中，我们将介绍系统和对手模型，并强调设计目标。4.1. 系统模型如图1所示，所提出的方案的系统模型由四个实体组成：可信机构（TA）（有时称为可信第三方）、电力公司（EU）（有时称为控制中心）、服务提供商（SP）（也称为聚合器1. 助教：它是一个完全受信任的一方，负责系统设置、参数生成、哈希链和网络上用户的临时密钥生成。2. EU：这是一个控制中心，负责处理和分析从SP收到的能耗数据报告。它是一家向消费者提供电能并确保有效控制和管理智能电网网络的公司。3. SP：这是欧盟和消费者SM之间的中介它是一个诚实但好奇的实体，它在NAN内的一个时隙中聚合从多个SM获得的加密数据报告，并将结果传输到EU进行分析。4. SM：这是一个消费者单元，它计算其家庭局域网（HAN）内所有家用电气设备的能耗，并将加密数据发送到相应的SP。4.2. 攻击者模型在这项工作中，TA被认为是一个完全可信的一方，不泄露用户的秘密信息或与对手勾结。欧盟和SP是诚实但好奇的实体，而SM则不值得信赖。虽然SP和EU遵循协议，但他们对SM的数据隐私感到好奇。由于本研究的重点是隐私保护聚合，我们将不解决Fig. 1. 系统模型。I.A. Kamil，S.O.Ogundoyin/ Journal of King Saud University211¼þ þ 2ð Þþ···XY12;jJ21对SM的内部攻击，也就是说，假设SM在这项工作中没有受到损害。我们考虑一个对手，它可以嗅探智能电网网络上的用户Qj<$qjð6Þ传输数据。攻击者可能会发起许多攻击，如重放、模拟、中间人和数据修改。此外，对手可以跟踪1vj<$Qjmod QJð7Þ跟踪用户的轨迹并损害他们的隐私。4.3. 设计目标我们的设计目标是提出一个轻量级的智能电网网络数据分析方案。具体而言，所提出的方案应该是隐私保护，安全，高效，自治和容错。5. 拟议的数据分析方案在本节中，我们将讨论所提出的EPDAS，用于分析智能电网网络中的能耗，而不会暴露用户的隐私。它包括六个阶段：系统设置、用户注册、假名和密钥自生成、数据报告生成、数据报告聚集和数据报告分析。为了更好地理解，表1中显示了所使用的符号的关键5.1. 系统设置TA执行设置算法如下。1. 它选择两安全Prime数字p 和q，哪里p<$2p0< $1;q<$2q0<$1，jpj <$jqj <$jt0j，p0和q0是素数。它计算n2p0q0，rj<$Qj·vj84. 同时，要执行数据聚合，必须满足以下条件：N·d2≤r0<$9N·。d2d·r0qj10t1·t1 lgtjnj 11<5. TA选择四个安全的单向散列函数h1、h2、h3和h4，其中h1：f0;1gω！ zn， h2：f0;1gω！ Zωn ， h3：f0;1gω！Zωn ， h4：f0;1gω！Zωn6. 它选择一条非奇异椭圆曲线E，由方程E表示：X3ax B mod p，其中a;bFn 点P构成一个n阶加法循环群G，它由E上的所有点和无穷远处的点07. 它随机选取s2Zωn作为主密钥，并设置系统公钥Ppub¼s·P。它定义了用于确定网络上的当前时隙的时间函数ft=n，其中t是当前时间，f 不 已知网络上的所有用户8. TA发布系统参数参数定义了一个函数fhh-n1。2. 假设在网络上有N个SM，SM1;SM2;SM3;···SMNg，fP;n;P pub;h1;h2;h3;h4;a;b;qj ：1 ≤j≤t;r u：0 ≤u≤t;ft;f hg。网络TA选择N2个随机数b0;b1;bN;bN<$1其满足等式：N1bj0modkj¼03. 假设在具有u个子集的每个NAN中存在t个SM集合，并且每个NAN中的报告数据在范围b0;dtc中。5.2. 节点登记TA在网络上执行节点的注册。该算法返回节点1. 首先，TA决定节点报告其数据的时间并将其划分为时隙ts tx。It然后随机选取h<$0;j2Zωn因此，d1;d2;·· ·dtg.TA选择t个质数和获得的散列链设置<$hx;j<$fh<$1;j;h<$2;j;· · ·;<$hn;jg，r0;q1;q2;···qt，其中qj 长度相同，且1≤j≤t。因此，TA计算以下内容不Q¼qj5第1页表1符号列表符号描述符号描述TA可信机构PKj节点j欧盟电业P清吧系统公共密钥SP服务提供商Zn最小剩余模nIDj节点jtsI实例i的时间戳hx：单向散列函数DT传输延迟1≤x≤n，使用一散列链<$hn;j<$h1<$hn-1;j，的是，<$h1;j<$h1<$h0;j;<$h2;j<$h1h<$1;j;· ··.2. 给定具有真实身份IDj的节点j（例如，SM），的TA计算ajh2P pubkparamkID j，bjh2ID EUkID jks，hjh2paramkPpub，Aj¼bj·P，和#j<$bjhj·aj·s。节点j的临时秘密密钥是Aj;#j。3. 最后，TA使用安全信道将元组f<$hx;j;IDj;#j<$g发送到节点j，并将元组f<$h0;j;IDj <$g存储在其存储库中。5.3. 假名和密钥自生成在接收元组fHx;j;Aj;#j g时，如图所示。 2，节点j如下自生成其设定的假名、秘密密钥和对应的公共密钥。1-通过使用散列链集，它计算用于每次槽tstx asf伪1;j;伪2;j; ···;中节点j的伪恒等式时隙xk级联操作伪n;jg，其中Pseud ox;j<$h1hx;jkpara mkPpu bkI Djkts tx。也就是说，Pseudo1;j<$h1h1;jkparamkPpubkIDjktst1，Pseudo2;j<$sPSKj节点j的部分秘密密钥SKj节点j的密钥rj节点j的签名H.h<$kparamkPkIDktst···Pseudo¼hðh¯kparamkPkID jktst n.酒n;jn;jQ酒212I.A. Kamil，S.O.Ogundoyin/ Journal of King Saud University-≤N2-它选择nj2Zωn并计算S Kj<$h3njkPseudox;jkAjk#jPK j<$SK j·P，其中SK j和PK j分别是节点j的秘密密钥和公共密钥。5.4. 数据报告生成对于每个时隙tstx，NANt中的SM（比如SMj）向SP报告其数据（能量消耗），如图2所示。SMj采取以下步骤向SP报告其加密数据。1. 首先，它检查等式#j·P<$Ajhj·h2PpubkparamkIDj保持。如果不是，则进程中止;否则，进程继续。通过验证签名，然后聚合加密的数据报告，而不泄露加密者的私有信息。 如图2所示，由NAN t中的SP执行以下算法（SP t）。1. 在接收到消息“_假设消息在时间T k被接收，SP t检查，T ktsIDT，其中DT 是网络上允许的传输延迟。如果新鲜度检查失败，则丢弃该消息。否则，SPt将在当前时隙tstx中从N个SM接收的消息上的签名验证为：2. 它计算r^h1pktstxkparamkPpub，并对其数据dj加密NN N第x个时隙ts tx为：C_d_j_n· r_u·d_j_2·r_0·d_j_n·r_n·S_K_j。Xrj术语rn·SKj 可以预先计算。第1页第1页第1页3. 它计算-j^h4CdjkPseudox;jkPKjkPpubktsi，其中tsi是当前时间戳，以防止重放攻击。4. 它 还 计 算 Xj<$^-j·A j 、 pj<$^hj·aj 、 Dj<$^PK j<$Xj 和 rj <$^SKj<$^-j·#j，其中rj是j对加密数据C<$d j <$j的签名。2.通过使用其秘密密钥SK t，SP t将时隙tst x中的加密的数据报告Cd j，1≤j≤N聚合为：C. C.D.F.Y.C.djg ·rn·SKt135. 最后，它将消息Pseudo;Cd;D;p;r;ts发送到第1页相应的SP。5.5. 数据报告汇总x;jJ JJJ I1. 它获得 -t1/4 h4pixCpixdpixkPseudo x;tkPK tkP pubkts i，其中，rt是SPt在聚合加密数据Ctudt上的签名，并且Pseudox;t是SPt在时隙tstx中的假名。当SP从多个SM接收数据报告时，它检查时间戳的新鲜度，验证加密数据2. 最后，它向EU发送消息“_”，其中tsi是当前时间戳。图二. EPDAS的阶段I.A. Kamil，S.O.Ogundoyin/ Journal of King Saud University213不不（X.2（X.2Rr第1页Y.ΣYN.ΣQ.CdP.0rN1n·SK2QrJ不第1页第1页第1页RuDJru·ukt·21·<10，相同的，如果K10，和更高的，如果K10。<同样，温等人的通信成本当K> 48时，EPDAS的方案比EPDAS的方案更高，当K>48时，EPDAS的方案比EPDAS的方案更高<然而，在Wen等人的“2010年12月25日的公开的专利申请”中，没有为SP到EU通信提供认证过程。的方案。为了进一步证明EPDAS与采用传统Paillier加密的相关方案的兼容性，我们提供了以下分析。请注意，为了比较的公平性，忽略了身份验证的成本。在传统的Paillier加密中的密文的形式为c gm rnmodn2，其中n2=2048。在所提出的方案中，从N个SM到SP 是 2048N 比 特 。 这 是 因 为 SMj 将 dj 和 dj2 加 密 为 一 个 密 文Cdj1n·ru·dj2r0·djn·rn·SKj modn2. If表5通信开销比较。方案SM到SP的通信成本SP到EU的通信成本Wen et al. （2017年）3264 + 32 K(3264+32 K）n2048 + 3